Coverity Static Analysis

Coverity Static Analysis (vormals Coverity Prevent) ist eine kommerzielle, proprietäre Software des seit Februar 2014 zu Synopsys^[1] gehörenden US-amerikanischen Softwareherstellers Coverity, Inc. zur statischen Code-Analyse von C-, C++-, C#- und Java-Quelltext. Damit können unter anderem Wettlaufsituationen (Race Conditions) und Speicherlecks entdeckt werden.

Coverity Logo

Entwicklung

Die Entwicklung der Software geht auf den an der Stanford University entwickelten Stanford Checker zurück. Dieser wurde unter Leitung von Professor Dawson Engler im Rahmen des Projektes Meta-Level Compilation (MC) auf Grundlage eines modifizierten GNU C Compiler (gcc), dem xgcc, entwickelt. Da die Stanford University die Software nie offenlegte, kündigte Dan Carpenter am 1. Januar 2003 Smatch an, einen Nachbau des Stanford Checker auf Basis der Publikationen des MC-Projektes.^[2]

Einsatz

Die Software wird unter anderem von Google Inc. verwendet und wurde bei zahlreichen Fehlerbehebungen am Linux-Kernel eingesetzt. Das Ministerium für Innere Sicherheit der Vereinigten Staaten hat 2006 in einem mit 1,24 Millionen US-Dollar geförderten dreijährigen Projekt zur Fehlerbehebung in Open-Source-Software einen Suchlauf über die Quelltexte von über 150 Freie-Software-Projekten in Auftrag gegeben,^[3] dessen Ergebnisse zur Behebung von über 6000 Fehlern und Sicherheitslücken in 53 Projekten führten.^[4][5]

Weblinks

• www.coverity.com

Einzelnachweise

1. Synopsys Enters Software Quality and Security Market with Coverity Acquisition, PR Newswire, 19. Februar 2014, abgerufen am 27. August 2016.
2. LWN.net: Smatch - a Stanford Checker for the rest of us, 8. Januar 2003
3. The open source results (Memento vom 13. Dezember 2011 im Internet Archive) auf scan.coverity.com
4. Open source one year results (Memento vom 4. Oktober 2011 im Internet Archive) auf scan.coverity.com
5. ZDNet: LAMP lights the way in open-source security, 6. März 2006